公司做网站一般多少钱,wordpress大前端5.0,网站收录排名,长沙网络推广专员为了提升解析效率减轻各级服务器的解析压力#xff0c;DNS系统中引入了缓存机制#xff0c;但这同样也带来了较大的安全隐患#xff0c;为攻击者利用DNS缓存进行投毒攻击创造了条件#xff0c;对DNS系统的安全造成了巨大破坏。本文国科云将分析缓存投毒的两种主要类型…为了提升解析效率减轻各级服务器的解析压力DNS系统中引入了缓存机制但这同样也带来了较大的安全隐患为攻击者利用DNS缓存进行投毒攻击创造了条件对DNS系统的安全造成了巨大破坏。本文国科云将分析缓存投毒的两种主要类型并对缓存投毒的防御策略进行简单介绍。
DNS缓存投毒攻击类型
在目前各种DNS攻击手段中DNS缓存投毒DNS Cache Poisoning是比较常见也是危害较大的一种它通过使用虚假域名解析数据替代DNS服务器缓存中主机记录的真实IP地址信息从而诱导用户访问错误站点达成攻击目的。
传统DNS缓存投毒
DNS系统采用树状分形结构在标准解析链条中递归服务器在接收到客户主机发起的解析请求后会发起全球迭代查询最终在域名授权的权威服务器获得最终的解析记录。为了缩短解析时间提高域名解析和web访问的速度DNS系统引入了缓存机制。
缓存DNS服务器从权威服务器请求到查询结果后除了告知客户主机外还会将结果保存在自身缓存中一段时间这就是DNS缓存DNS Cache。DNS缓存投毒攻击就是通过污染DNS缓存用虚假的IP地址信息替换缓存DNS服务器中真实IP地址信息达成攻击效果。
目前DNS采用UDP协议传输和应答数据包采用简单的信任机制对首先收到的应答数据包仅进行发送IP地址、端口和随机查询ID的确认而不会对数据包的合法性进行验证如果数据包确认就会将其作为正确应答数据包继续DNS解析过程丢弃后续到达的所有数据包。这个过程所存在的缺陷为攻击者仿冒权威服务器向缓存DNS服务器发送伪造应答包提供了机会。
如果攻击者抢先在权威服务器之前将伪造的应答数据包发送到缓存DNS服务器并与原查询包IP地址、端口和随机查询ID匹配就能成功污染DNS缓存使得在该缓存有效期内将使用该缓存服务器的客户主机对该域名的访问请求至受攻击者控制的IP地址。
传统DNS缓存投毒攻击有较大的局限性必须等待原DNS缓存失效缓存DNS服务器重新向权威服务器发起请求时发动攻击。但当前大多数缓存DNS服务器的DNS缓存TTL时间较长导致攻击者可以利用的攻击机会较少攻击成功率很低。然而新型的Kaminsky攻击克服了这一缺陷大幅提升了攻击成功率使得DNS缓存投毒攻击的破坏性大幅上升。
Kaminsky 缓存投毒攻击
传统DNS缓存投毒污染的目标是域名所对应的IP地址信息而Kaminsky攻击所针对的目标则上升到了域名授权的权威域名服务器。
与传统DNS缓存投毒攻击不同Kaminsky攻击发送给缓存DNS服务器的域名主机并不是真实的而是使用随机序列与目标域名的组合。
如24678.example.com其中example.com是目标域名而24678为随机生成序列。显然24678.example.com的域名主机记录在缓存DNS服务器中是不存在的缓存DNS在接收到这个域名请求后需要进行迭代请求。
攻击者会抢先在权威服务器之前将伪造的应答数据包发送至缓存DNS服务器中在伪造的应答数据包中资源记录部分与正确应答包的结果是一样的比如24678.example.com的DNS的IP地址、UDP端口号、应答结果是NXDOMAIN。但除此之外攻击者还伪造了一个example.com的ns记录将其指向攻击者控制的服务器。这条ns记录也会被写入缓存DNS服务器的缓存中在DNS缓存时间有效内对example.com的所有域名查询都被发送到攻击者控制的服务器上。
与传统DNS缓存投毒相比Kaminsky攻击不受DNS缓存TTL的限制其所污染的目标也不再局限于域名对应的IP地址信息而是域名主机的NS记录破坏力更高危害性更强。
DNS缓存投毒防御策略
针对DNS缓存投毒攻击目前有几种比较可行的防御策略
1Bind软件采用源端口随机性较好的较高版本源端口的随机性可以有效降低攻击成功概率增加攻击难度。
2增加权威服务器数量目前国内外权威服务器数量得到明显提升但仍需进一步加强。
3在DNS应答数据包验证方面除原查询包IP地址、端口和随机查询ID外增加其他可认证字段增强认证机制。
4改进现有DNS协议框架可以在DNS服务器上配置DNSSEC或引入IPv6协议机制。
5UDP端口随机化不再使用固定的53端口在UDP端口范围内随机选择端口可以使ID号和端口号的组合空间扩大6万多倍降低缓存投毒的命中率。
6及时刷新DNS重建DNS缓存或者根据服务器性能适当减小缓存记录的TTL值。
7可以限制DNS动态更新设置静态的DNS映射表可以保护重要网站不被攻击。
国科云DNS安全解决方案
国科云解析是基于云技术的新一代权威解析技术能够通过DNSSEC、健康监测、减小TTL值等手段应对DNS缓存投毒、NS篡改等DNS攻击手段域名解析的安全性和准确性得到了保障。
DNSSEC
国科云解析支持DNS安全扩展协议DNSSEC能够对DNS记录进行数字签名保证DNS应答报文的真实性和完整性保护用户不被重定向至非预期地址有效应对DNS缓存投毒及其他形式的篡改。
健康监测
云解析在国内及海外设置多个解析监测节点能够通过ping命令、TCP/UDP探测和https协议等方式对网站健康状态进行实时监测当发现因缓存投毒导致的域名状态异常时会及时发出告警为网站管理者进行故障处理提供技术标准和依据。
减小TTL
TTL是DNS缓存在DNS服务器上的生存时间。TTL值越小DNS服务器就会在越短时间内请求权威服务器获取最新的解析记录更好地规避缓存投毒带来的风险。国科云解析最低支持1S的TTL能够做到DNS缓存秒级刷新最大限度降低缓存投毒带来的劫持风险。
DNS在互联网上应用广泛其安全关系着整个互联网的稳定。缓存投毒作为DNS攻击最常见的方式之一破坏力强影响范围广如果与其他技术结合将产生更严重的危害。因此了解缓存投毒的工作原理和防御策略对于加强DNS系统安全维护互联网的健康秩序具有重要意义。
本文部分图片和文字引用自网络如有侵权行为请联系删除
